Fałszywy Bank Pekao – nowy groźny pomysł oszustów

Oszuści nie ustają w poszukiwaniu pomysłów, jak przekonać ofiary, by podały im swoje hasła do systemów e-bankowości. Tym razem do głów wpadło im coś całkiem sprytnego, co może sprawić, że więcej internautów przekona się do ich oszustwa. W opisywanym przypadku przestępcy podszywają się pod bank Pekao.

W czym tkwi kruczek? Otóż wydaje się, że oszuści – czyżby czytali poradniki w sieci (wliczając w to naszą witrynę)? – zrozumieli, że wystarczy sprawdzić adres strony, na której widnieje fałszywa strona, by zorientować się, że mamy do czynienia z oszustwem. Wpadli więc na ciekawy pomysł, jak „podłożyć” prawdziwy adres tak, by zmylić potencjalną ofiarę.

Prawie jak bank Pekao

Zaczyna się – jak zwykle – od reklamy na Facebooku. Zdecydowanie kuszącej, bo któżby nie pogardził dodatkowymi 5 procentami w oprocentowaniu lokaty?

(Prawie) wszystko wygląda dobrze. Logotyp banku, kolorystyka, nawet adres pasku na dole (choć to tylko podkładka, bowiem link prowadzi do zupełnie innej domeny). Favicona też, jak przystało na Bank Pekao, z żubrem. Jedno co nie pasuje, to „Mobile App” jako nazwa konta. Nawet dopisek „sponsorowane” nie niepokoi – w końcu reklama banku jak najbardziej może mieć taki status.

Po kliknięciu przechodzimy na witrynę pod adresem hxxps://pekao24-pl-bankowosc-online-officcial-prize-deposite-i-other.chgames[.]work/, która – po spojrzeniu na całość – zdecydowanie nie przypomina adresu banku. Ale!

Po pierwsze – jeśli otwieramy link bezpośrednio z Facebooka, widzimy tylko kawałek adresu. A jako, że mózg lubi chodzić na skróty, stawiamy dolary przeciw orzechom, że wielu internautów adres

pekao24-pl-bankowosc-online

podświadomie zinterpretuje jako

pekao24.pl/bankowosc-online (choć akurat konkretnie taka podstrona nie istnieje)

W razie gdybyśmy nawet nie zwrócili uwagi na znikający po chwili adres, oszuści zadbali o to, byśmy byli pewni, że odwiedzamy Bank Pekao:

Spójrzcie na górną część zrzutu ekranu. Wygląda jak pasek adresu faktycznej witryny bank, nawet ma mityczną kłódkę! Rzecz w tym, że to… statyczna grafika. To nie jest pasek adresu. Nie da się tam kliknąć, nie da się niczego wpisać. Jedyne miejsce, w którym można cokolwiek wpisać jest na dole grafiki. A tam, po wpisaniu numeru klienta, zostaniemy poproszeni o hasło i kolejne dane wrażliwe, zmierzające do przejęcia kontroli nad naszym kontem.

Co robić?

Zalecenie „sprawdź adres w pasku przeglądarki” wciąż jest aktualne, aczkolwiek w nieco inny sposób. W odpowiedzi na kreatywności przestępców musimy nieco zmienić podejście. Nie wystarczy spojrzeć na pasek adresu, trzeba jeszcze spróbować w niego kliknąć/dotknąć. Z jednej strony – nie da się ukryć, że musimy poświęcić na taką analizę chwilę więcej. Z drugiej jednak – ile takich „okazji” trafia do Was dziennie? Nawet jeśli skusi Was 5 fałszywych reklam, 5 „chwil” poświęconych na upewnienie się, czy to prawda, przełoży się maksymalnie na jedną minutę.

Jedna minuta, by nie stracić oszczędności całego życia. To chyba uczciwy układ, nie sądzicie?